CVSS 4.0 发布，助力评估实时威胁和漏洞影响

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

FIRST 发布了CVSS（“通用漏洞评分系统”） 的最新版本4.0。CVSS 是提供商和客户之间的重要桥梁，有助于捕获安全漏洞的最重要特征并生成反映其技术严重程度的分数，告知并为企业、服务提供商、政府和公众提供相关指南。

这一评分可作为量化的严重性评级（如低危、中危、高危和严重），帮助组织机构正确地评估和优先处理漏洞管理流程并准备网络攻击防御措施。另外，该系统还可使客户评估实时威胁和影响，为他们提供重要信息以助力攻击防御。

01

通用漏洞评分系统

通用漏洞评分系统 (CVSS) 是一个公开发布的标准，适用于全球组织机构，其最新版本 CVSS 4.0 旨在为行业和公众提供真实度最高的漏洞评估。

该计划为客户提供了更精细的基础指标粒度，消除了下游的评分歧义、简化了威胁指标并增强了评估特定环境要求及补偿性控制的有效性。

另外，该系统中还新增了几种漏洞评估的补充属性，包括可自动化的、恢复、价值密度、漏洞响应投入和提供商紧迫度。它还适用于 OT/ICS/IoT，安全指标和值都添加到补充和环境度量组中。

02

CVSS 4.0 之路

随着威胁不断增多，CVSS 4.0 版本旨在成为行业的变革者。

2005年之前，人们使用定制化的、不可兼容的评估系统定义漏洞的严重性，之后才在软件和平台中出现了标准化的漏洞度量。CVSS 版本1在2005年2月发布，当时是由业内的一小部分先驱者开发的，目的是在业内采用，FIRST 在4月表示进一步推动将成为这一业内武器库中重要工具的未来发展。

CVSS 特别兴趣小组 (SIG) 的十几名 FIRST 成员在2006年和2007年间展开广泛合作，测试和再次测试数百个真实漏洞，修订和改进 CVSS 版本1，并在2007年6月发布了CVSS版本2。

2015年，CVSS版本3引入了“范围”的概念，致力于处理虽然在一个软件组件中出现但影响其它软件、硬件或网络组件的漏洞评估。最终，CVSS 3.1版本在2019年6月发布，它在没有引入新的指标或值的情况下澄清并改进了 CVSS 3.0 版本，提升了标准的整体使用易用性并增加了 CVSS 扩展框架。

而本次发布的CVSS 4.0版本标志着重大进步，其增加的能力对于团队而言至关重要，强调了使用威胁情报和环境指标进行准确评估的重要性。

另外值得注意的功能是术语。CVSS 不仅仅是“基础分 (Base Score)”，为进一步强调这一点，CVSS 4.0采用了新术语：

• CVSS-B：CVSS 基础分

• CVSS-BT：CVSS基础分+威胁分

• CVSS-BE：CVSS 基础分+环境分

• CVSS-BTE：CVSS基础分+威胁分+环境分

03

测试CVSS 4.0

在公开发布前，很多全球900个行业领导者都在实时测试CVSS 4.0版本。

随着网络安全问题在全球范围内持续快速增多，让互联网对所有人更安全的愿景使协作变得比以往都更加重要，类似于CVSS 4.0的计划创建对于行业和公众而言都至关重要。

FIRST 的首席执行官 Chris Gibson 评论称，“18年来，CVSS系统已快速发展，每个版本都基于我们防御网络犯罪的能力。CVSS-SIG 为4.0版本的诞生所付出的努力和贡献让我深感自豪。而且，随着全球范围内威胁的急剧增长，它的诞生恰逢其时。”

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

---

推荐阅读

奇安信入选全球《静态应用安全测试全景图》代表厂商

奇安信入选全球《软件成分分析全景图》代表厂商

GitLab强烈建议尽快修复 CVSS 满分漏洞

Synology 修复严重的VPN路由器漏洞，CVSS评分10分

热门开源后端软件Parse Server中存在严重的 RCE ，CVSS评分10分

原文链接

https://www.helpnetsecurity.com/2023/07/13/first-cvss-4-0-released/

题图：Pexels License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~